ESET: Ботнет Sathurbot атакует WordPress

Олег Иванов 10 Апреля 2017 - 09:58

Домашние пользователи

...

Недавно обнаруженный бэкдор формирует из компьютеров-жертв ботнет, который используется для взлома учетных записей WordPress. Впоследствии взломанные аккаунты используются для дальнейшего распространения вредоносной программы.

Новый вредонос получил имя Sathurbot, для распространения он использует торренты. Схема следующая: на скомпрометированных сайтах размещаются якобы фильмы и бесплатное программное обеспечение, соответственно, пользователи, ищущие эти фильмы или программы, попадают на такие сайты.

Как «фильмы», так и «софт», загруженные с помощью этих торрент-файлов, содержат исполняемый файл, расчет сделан на то, чтобы заставить пользователя запустить его. После запуска исполняемый файл загружает DLL зловреда Sathurbot.

После запуска вредоносная программа информирует жертву о том, что ее машина стала ботом в сети Sathurbot. Затем бэкдор связывается с командным центром, это взаимодействие включает в себя отправку отчетов о статусе, получение команд и ссылок на загрузку других вредоносных программ.

«Sathurbot может обновляться, загружать и запускать другие исполняемые файлы. Мы наблюдали попытки загрузки и запуска Boaxxe, Kovter и Fleercivet» - предупреждают исследователи безопасности ESET.

Sathurbot содержит более пяти тысяч базовых общих слов, случайно объединяющихся в 2-4 словосочетания, эти словосочетания используются в качестве строк запроса через популярные поисковые системы. Затем вредонос выбирает случайный фрагмент текста длиной 2-4 слова с каждой веб-страницы в результатах поиска и использует его для следующего этапа поисковых запросов.

Следующим шагом вредонос ищет сайты под управлением WordPress, однако эксперты утверждают, что бэкдор также интересуется Drupal, Joomla, PHP-NUKE, phpFox и DedeCMS.

нов сформирован, вредонос отправляет его боту в формате login:password@domain. Далее, как утверждают исследователи ESET, боты пытаются подобрать данные для входа, используя пресловутый метод брутфорс. Чтобы избежать блокировки, каждый бот использует только одну попытку входа, переходя затем к следующему домену.

В ESET также отмечают, что Sathurbot использует в своих атаках XML-RPC API.

Следующая главная новость »

ИБ без ручного режима: как автоматизировать защиту в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 25 Мая 2026 - 19:33

Мошенничество Онлайн-мошенничество Общее Лаборатория Касперского

Интерпол и Kaspersky помогли задержать 200 предполагаемых кибермошенников

«Лаборатория Касперского» приняла участие в операции Интерпола Ramz, направленной против киберпреступности на Ближнем Востоке и в Северной Африке. Итог получился внушительный: 201 подозреваемый арестован, ещё 382 человека попали в поле зрения правоохранителей.

Операция проходила с октября 2025 года по февраль 2026-го и стала первой масштабной кампанией Интерпола такого рода в регионе MENA. В ней участвовали представители 13 стран.

Целью были вредоносная активность, фишинг, скам и другие схемы, из-за которых пострадали около 4 тысяч человек.

«Лаборатория Касперского» передала Интерполу технические данные о киберугрозах и инфраструктуре, которую злоумышленники использовали для администрирования и распространения вредоносных программ. В том числе речь шла о серверах, через которые работали преступные схемы.

Всего страны-участницы получили почти 8 тысяч фрагментов данных. Эти сведения помогли запускать расследования, искать скомпрометированные устройства, вычислять серверы и изымать оборудование.

В Катаре на основе полученных данных удалось определить заражённые устройства и уведомить их владельцев. В Иордании полиция нашла компьютер, который использовался в финансовом мошенничестве: жертв уговаривали вложиться в якобы легальную торговую платформу, а после перевода денег доступ к ней просто закрывался.

В Омане правоохранители обнаружили в частном доме сервер с конфиденциальной информацией и отключили его, чтобы остановить дальнейший ущерб. В Алжире заблокировали сайт, где по модели «фишинг как услуга» продавались инструменты для атак, а затем изъяли сервер, компьютер, телефон и жёсткие диски. В Марокко также изъяли устройства с банковскими данными и ПО для фишинговых схем.

Директор управления Интерпола по борьбе с киберпреступностью Нил Джеттон отметил, что операция показала эффективность международного сотрудничества против преступных группировок, которые используют цифровую инфраструктуру почти без границ.

В «Лаборатории Касперского» подчеркнули, что быстрый обмен данными между ИБ-компаниями и правоохранителями помогает не просто красиво писать отчёты, а реально отключать серверы, находить подозреваемых и ломать преступные цепочки.

ИБ без ручного режима: как автоматизировать защиту в 2026?
Регистрируйтесь на эфир!